Prepare-se para implantar servidores DPM
Importante
Esta versão do DPM (Data Protection Manager) chegou ao fim do suporte. Recomendamos que você atualize para o DPM 2022.
Há algumas etapas de planejamento a serem consideradas antes de você começar a implantar os servidores do System Center Data Protection Manager (DPM):
Planeje a implantação do servidor DPM – Descubra quantos servidores DPM você precisará e onde colocá-los.
Planejar configurações de firewall – obtenha informações sobre configurações de firewall, porta e protocolo no servidor DPM, computadores protegidos e um SQL Server remoto se você estiver configurando um.
Conceda permissões de usuário – Especifique quem pode interagir com o DPM.
Planejar a implantação do servidor DPM
Primeiro, determine quantos servidores você precisará:
O DPM pode proteger até 600 volumes. Para proteger esse tamanho máximo, o DPM precisa de 120 TB por servidor DPM.
Um único servidor DPM pode proteger até 2000 bancos de dados (o tamanho de disco recomendado é de 80 TB).
Um único servidor DPM pode proteger até 3000 computadores cliente e 100 servidores.
- Para planejamento de capacidade do servidor DPM, você pode usar as calculadoras de armazenamento do DPM. Essas calculadoras são planilhas do Excel e são específicas da carga de trabalho. Eles orientam sobre o número de servidores DPM necessários, núcleo do processador, RAM, recomendações de memória virtual e capacidade de armazenamento necessária. Como essas calculadoras são específicas da carga de trabalho, você precisará combinar as configurações recomendadas e considerá-las junto com os requisitos do sistema e sua topologia e requisitos de negócios específicos, incluindo locais de fonte de dados e armazenamento, requisitos de conformidade e SLA e necessidades de recuperação de desastre. Observe que as calculadoras foram lançadas para o DPM 2010, mas permanecem relevantes para versões posteriores do DPM.
Em seguida, descubra como localizar os servidores:
O DPM deve ser implantado em um Domínio do Active Directory (Windows Server 2008 em diante).
Ao decidir onde localizar o servidor DPM, considere a largura de banda da rede entre o servidor DPM e os computadores protegidos. Se estiver protegendo dados em uma WAN (Rede de Longa Distância), haverá um requisito mínimo de largura de banda da rede de 512 Kbps por segundo.
O DPM dá suporte para adaptadores de rede agrupados (NICs). Os NICs agrupados são vários adaptadores físicos configurados para serem tratados como um único adaptador pelo sistema operacional. As NICs agrupadas fornecem maior largura de banda combinando a largura de banda disponível, usando cada adaptador e failover para o adaptador restante quando um adaptador falha. O DPM pode usar o aumento da largura de banda obtida usando um adaptador agrupado no servidor DPM.
Outra consideração para o local dos servidores DPM é a necessidade de gerenciar fitas e bibliotecas de fitas manualmente, como adicionar novas fitas à biblioteca ou remover fitas para um arquivo morto fora do local.
Um servidor DPM pode proteger recursos dentro de um domínio ou entre domínios dentro de uma floresta que tem uma relação de confiança bidirecional com o domínio no qual o servidor DPM está localizado. Caso não haja uma relação de confiança bidirecional entre os domínios, será necessário ter um servidor DPM separado para cada domínio. Um servidor DPM poderá proteger dados entre florestas se houver uma relação de confiança bidirecional em nível de floresta entre as florestas.
Considere a largura de banda de rede entre o servidor DPM e os computadores protegidos. Se você estiver protegendo dados em uma WAN, haverá um requisito mínimo de largura de banda de rede de 512 Kbps. Observe que o DPM dá suporte a NICs agrupadas que fornecem maior largura de banda combinando largura de banda disponível para cada adaptador de rede e failover se um adaptador falhar.
Planejar configurações de firewall e permissões de usuário
Configurações de firewall
As configurações de firewall para implantação do DPM serão necessárias no servidor DPM, nos computadores que você quiser proteger e no SQL Server usado no Banco de Dados do DPM, se ele estiver sendo executando remotamente. Se o Firewall do Windows estiver habilitado quando você instalar o DPM, a configuração do DPM definirá automaticamente as configurações de firewall no servidor DPM. As configurações de firewall são resumidas na tabela a seguir.
| Local | Regra | Detalhes | Protocolo | Porta |
|---|---|---|---|---|
| Servidor DPM | System Center <version> Configuração do DCOM do Data Protection Manager | Usado para comunicação DCOM entre o servidor DPM e computadores protegidos. | DCOM | 135/TCP Dinâmico |
| Servidor DPM | System Center <version> Data Protection Manager | Exceção do Msdpm.exe (serviço DPM). É executado no servidor DPM. | Todos os protocolos | Todas as portas |
| Servidor DPM Computadores protegidos |
System Center <version> Agente de Replicação do Data Protection Management | Exceção do Dpmra.exe (serviço do agente de proteção usado para fazer backup e restaurar os dados). É executado no servidor DPM e em computadores protegidos. | Todos os protocolos | Todas as portas |
| Computadores protegidos | Configurar uma exceção de entrada para sqserv.exe | |||
| Computadores protegidos | O DPM emite o comando para o agente de proteção com chamadas DCOM para o agente. Você precisará abrir as portas superiores (1024-65535) para que o DPM se comunique. | DCOM | 135/TCP Dinâmico | |
| Computadores protegidos | O canal de dados do DPM é o TCP. O servidor DPM e os computadores protegidos iniciam as conexões. O DPM comunica-se com o coordenador de agentes na porta 5718 e com o agente de proteção na porta 5719. | TCP | 5718/TCP 5719/TCP |
|
| Computadores protegidos | Usado para resolução de nome de host entre o DPM/computador protegido e o controlador de domínio. | DNS | 53/UDP | |
| Computadores protegidos | Usado para autenticação do ponto de extremidade de conexão, entre o computador protegido/DPM e o controlador de domínio. | Kerberos | 88/UDP 88/TCP |
|
| Computadores protegidos | Usado para consultas entre o servidor DPM e o controlador de domínio. | LDAP | 389/TCP 389/UDP |
|
| Computadores protegidos | Usado para operações diversas entre 1) O DPM e os computadores protegidos, 2) O DPM e o controlador de domínio 3) Os computadores protegidos e o controlador de domínio. Também usado para SMB hospedado diretamente em TCP/IP para funções DPM. | NetBIOS | 137/UDP 138/UDP 139/TCP 445/TCP |
|
| SQL Server Remoto | Habilite o TCP/IP para a instância do DPM de SQL Server com o seguinte: auditoria de falha padrão; habilite a verificação de política de senha. | |||
| SQL Server Remoto | Habilite a exceção de entrada para sqservr.exe na instância do DPM do SQL Server para permitir o TCP na porta 80. O servidor de relatório escuta as solicitações HTTP na porta 80. | |||
| SQL Server Remoto | A instância padrão do mecanismo de banco de dados escuta na porta TCP 1443. Pode ser modificada. Para usar o serviço navegador SQL Server para se conectar em uma porta não padrão, defina a porta UDP 1434. |
|||
| SQL Server Remoto | Por padrão, a instância nomeada do SQL Server usa portas dinâmicas. Pode ser modificada. | |||
| SQL Server Remoto | Habilitar o RPC |
Grant user permissions
Antes de iniciar uma implantação do DPM, verifique se os usuários apropriados receberam os privilégios necessários para executar as várias tarefas. Esses métodos estão resumidos na tabela a seguir.
| Tarefa do DPM | Permissões necessárias |
|---|---|
| Adicionar o servidor DPM em um domínio | Direito do usuário ou conta de administrador de domínio para adicionar uma estação de trabalho ao domínio |
| Instalar o DPM | Conta de administrador no servidor DPM |
| Instalar um agente de proteção do DPM em um computador que você deseja proteger | Conta de domínio que está no grupo de administradores locais no computador |
| Estender o esquema do AD para habilitar a recuperação do usuário final | Privilégios de administrador de esquema para o domínio |
| Criar contêiner do AD para habilitar a recuperação do usuário final | Privilégios de administrador de domínio |
| Conceder permissão de servidor DPM para alterar o conteúdo do contêiner | Privilégios de administrador de domínio |
| Habilitar a recuperação do usuário final no servidor DPM | Conta de administrador no servidor DPM |
| Instalar o software cliente do ponto de recuperação no computador protegido | Administração conta no computador |
| Acessar versões anteriores de dados protegidos de um computador protegido | Conta do usuário com acesso ao compartilhamento protegido |
| Recuperar dados do SharePoint | Administrador de farm do SharePoint, que também é um administrador no servidor Web front-end no qual o agente de proteção está instalado. |
Observação
O servidor DPM e o computador protegido se comunicam usando o DCOM. Durante a instalação do DPMRA, a conta do servidor DPM é adicionada ao grupo de segurança Usuários COM Distribuídos no computador protegido.
Para a proteção do controlador de domínio, os grupos de segurança do Active Directory serão criados para cada um dos controladores de domínio protegidos, com os nomes DPMRADCOMTRUSTEDMACHINES$DCNAME, DPMRADMTRUSTEDMACHINES$DCNAME e DPMRATRUSTEDDPMRAS$DCNAME.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de